我们公司做的软件是企业级 erp 之类的软件,今年各个企业好像特别关注安全,我看有的企业是用 sqlmap 扫码注入,有的企业使用上了 fofa ,不知道大家对于 web 安全相关的软件有哪些推荐的,之前一直关注 web 开发,对于使用工具不是特别懂,帮忙推荐下常用安全扫描工具
1
SP00F 137 天前
fofa 用来发现资产的……SQLMap 一般是配合爬虫的(大规模盲测的情况下)
光漏扫 AWVS 、Nessus 、APPScan 、XRay 、Goby 等 |
2
cnevil 137 天前
上面说的那些商业漏扫软件吧,不过只能说是凑合用,对于一些通用型或者已公开的各种漏洞具备一定的检测能力。。
如果是企业自己的代码,不仅仅是为了合规的话,我觉得也可以考虑同步去做代码审计,白盒比黑盒效果要好,尤其一些未知一些漏洞,像哪里有个反序列化啊,基本只能靠审计了,黑盒很难测出来,相应的,对做审计的人要求很高。 |
3
m0unta1n886 136 天前
你们是做应用开发的,要做的应该是开发安全左移吧
|